La suplantación de identidad es una de las claves de los fraudes con Inteligencia Artificial que amenazan a empresas, administraciones y ciudadanía
Más allá de su uso productivo legítimo, los profesionales de ciberseguridad están constatando la proliferación de fraudes con Inteligencia Artificial.
Mediante estas
actuaciones, los actores maliciosos emplean IA generativas para
suplantar la identidad de personas y empresas con el objetivo de estafar a
ciudadanos y compañías.
¿En qué consisten
estos ciberataques? ¿Qué papel juega la IA en ellos? ¿Cuál es su impacto
potencial en las empresas, las instituciones y el conjunto de la sociedad?
1. Un paso más en
la evolución de los fraudes digitales
En primer lugar,
debemos precisar que los fraudes con Inteligencia Artificial no
suponen una nueva tipología de ciberataques, sino que vienen a ser una
evolución de los fraudes digitales que los profesionales de ciberseguridad, ciberinteligencia y Threat Hunting combaten
desde hace años.
¿Cuál es el factor
diferencial con fraudes clásicos como el uso combinado de phishing y malware
para sustraer datos bancarios de personas y empresas? Que la Inteligencia
Artificial facilita el trabajo de los delincuentes y les ayuda a complejizar
sus ataques y, por ende, a dificultar su detección.
A partir de estas
nociones, podemos esbozar las principales características de los
fraudes con Inteligencia Artificial.
1.1. Sencillez y
rapidez
Es más sencillo y
rápido diseñar y ejecutar los fraudes con IA. La Inteligencia Artificial
generativa ya está siendo empleada por miles de empresas, profesionales y
usuarios para multitud de fines. Desde la creación de videos, hasta la
redacción de proyectos o, incluso, para programar webs, porque supone un
mayúsculo ahorro de tiempo y permite a personas sin las capacidades y
conocimientos necesarios para realizar algunas acciones, poder ejecutarlas con
éxito.
Pues bien, esta misma
lógica aplica para los ciberdelincuentes. Un actor malicioso puede usar
los sistemas de IA para redactar los mensajes de una campaña de phishing o
crear páginas webs que parecen legítimas y, sin embargo, son fraudulentas.
1.2. Sofisticación
Se tratan de ataques
más sofisticados. Si a la ecuación ingeniería social + malware le añadimos,
también, Inteligencia Artificial, resulta evidente que la complejidad de un
ataque aumenta, así como las probabilidades de tener éxito.
Si a una persona le
escribe por WhatsApp una persona que dice ser un familiar que necesita dinero,
pero escribe mal y es incapaz de responder con coherencia, la víctima potencial
seguramente no caiga en la estafa. En cambio, si gracias a la IA se envía un
audio que reproduce la voz de un familiar real o una fotografía manipulada en
una situación de gravedad, la víctima no tendrá indicios para desconfiar.
1.3. Apariencia de
veracidad
La apariencia de
veracidad dificulta la detección. Los fraudes con Inteligencia
Artificial no solo son más sofisticados, sino que el uso de esta
tecnología disruptiva incrementa la apariencia de veracidad de los
ataques.
Si los delincuentes
recurren a la IA y realizan, por ejemplo, deepfakes, ataques clásicos como las
campañas de phishing o vishing resultan más difíciles de detectar.
1.4. Evolución
acelerada de la tecnología
Los fraudes con
Inteligencia Artificial suponen un desafío para los profesionales de la
ciberseguridad y los equipos defensivos de las organizaciones. A lo largo de
los años se han perfeccionado los mecanismos de seguridad para prevenir los
ataques de ingeniería social o para detectar malware de forma temprana y evitar
su propagación por los sistemas corporativos. Sin embargo, la irrupción y
consolidación de la IA exige a los expertos en ciberseguridad adaptar sus
actividades a una tecnología en constante evolución.
Las IA generativas ya
están produciendo resultados asombrosos, pero se espera que en los próximos
años alcancen un nivel de perfeccionamiento que va a alterar el funcionamiento
del tejido productivo y la manera en la que vivimos.
Esta tecnología trae
consigo un amplio abanico de potencialidades, pero también ha generado, y
seguirá haciéndolo, desafíos en materia de seguridad. Por lo que es
fundamental que los expertos en ciberseguridad se formen de manera continua
para adaptar sus técnicas y tácticas a la evolución de la tecnología.
2. Ingeniería
social e Inteligencia Artificial, un combo explosivo
El phishing y otras
técnicas de ingeniería social como el, smishing, el vishing o el fraude del CEO
han sido protagonistas del panorama de amenazas en los últimos años. Sobre
todo, gracias al uso combinado de técnicas de ingeniería social y malware para engañar
a personas y empresas y conseguir sustraerles cuantiosas cantidades de dinero.
De hecho, en muchos
ciberataques, está presente la ingeniería social a la hora de buscar y
encontrar un vector de entrada. Por ejemplo, enviar un email falso a un
profesional y conseguir que haga clic en una URL o descargue un archivo
infectado con un malware.
2.1. Fraudes más
complejos y mayor número de atacantes potenciales
Pues bien, la
popularización de las IA generativas supone una nueva vuelta de tuerca, porque
estos sistemas pueden ser empleados por los ciberdelincuentes para perfeccionar sus ataques:
- Elaborar mensajes mejor escritos
para engañar a las personas que los reciben y conseguir que
faciliten datos confidenciales, hagan clic en un enlace o descarguen un
documento.
- Simular la apariencia de emails y webs
corporativos con un
altísimo grado de realismo, evitando levantar suspicacias entre las
víctimas.
- Clonar las voces y los rostros de las
personas y realizar
deepfakes de voz o imagen que no puedan ser detectados por las personas
atacadas. Una cuestión que puede tener enorme repercusión en estafas como
el fraude del CEO.
- Responder con eficacia a las víctimas, gracias a que las IA generativas ya
pueden mantener conversaciones.
- Poner en marcha campañas de ingeniería
social en menos tiempo,
invirtiendo una cantidad de recursos inferior y consiguiendo que sean más
complejas y difíciles de detectar. Puesto que con las IA generativas que
ya están en el mercado no solo se pueden escribir textos, clonar voces o
generar imágenes, sino también programar webs.
Además, las IA generativas abren la posibilidad de que se multiplique el número de atacantes potenciales, porque al permitir realizar numerosas acciones, pueden ser empleadas por delincuentes sin los recursos y los conocimientos necesarios.
3. Suplantación de
identidades a partir del caudal de información de internet
La entente
Inteligencia Artificial – ingeniería social se alimenta de toda la información
que está disponible hoy en día en internet sobre las empresas y las personas.
De hecho, los grandes
modelos de lenguaje (LLM, por sus siglas en inglés), que son el
corazón de las IA generativas necesitan datos para entrenarse y producir
videos, fotos, audios o textos cada vez más realistas.
Los delincuentes que
desean realizar fraudes con Inteligencia Artificial parten con una
gran ventaja: nuestra vida está en internet. Webs profesionales o educativas,
blogs personales, y, por supuesto, las redes sociales, ofrecen una radiografía
precisa de quiénes somos y de cómo somos, por dentro y por fuera.
Gracias a aplicaciones
como TikTok, Instagram o Facebook los actores maliciosos pueden obtener el
material suficiente para clonar nuestro rostro y nuestra voz, incluidos los
gestos que realizamos o las inflexiones en nuestra forma de expresarnos. De
hecho, existen, ya, IA generativas capaces de producir deepfakes
difíciles de detectar.
Pero no solo eso,
cuanto más se perfeccionen las IA, mayor será la exactitud a la hora de imitar
no solo nuestra apariencia, sino también nuestra forma de ser y de
relacionarnos.
3.1. La IA también
puede ser el espejo del alma
En un célebre capítulo
de la antología distópica Black Mirror, una mujer adquiría un robot
idéntico a su novio fallecido físicamente, pero que, además, replicaba su forma
de ser, gracias a una IA que había sido capaz de reconstruir su personalidad
procesando sus publicaciones en todas las redes sociales.
Pues bien, lo que en
2013 el episodio Be Right Back pintaba como distópico, diez
años después es prácticamente una realidad.
Las IA generativas son
capaces de entrenarse con todos los datos sobre nosotros disponibles en
nuestras redes sociales en particular y en internet en general para imitar
la manera en la que nos expresamos.
¿Con qué fin?
Cometer fraudes con Inteligencia Artificial, por ejemplo,
escribiendo a nuestra madre a través de WhatsApp, Facebook o X para informarle
de que necesitamos que realice un pago porque en ese momento nos resulta
imposible. ¿Por qué la víctima no desconfía de la estafa? Porque el mensaje
está escrito a la perfección y la forma de responder coincide con la manera de
expresarse de la persona a la que se le está suplantando la identidad.
4. Quebrar los
sistemas de autenticación biométricos de las organizaciones
El reconocimiento
facial y la clonación de voz han sido sistemas empleados para
incrementar el nivel de seguridad en el proceso de autenticación de los
usuarios en aplicaciones web y móviles y en sistemas corporativos. Ya sean
clientes de compañías como entidades bancarias que desean entrar en sus áreas
privadas en las aplicaciones web o móviles; o, especialmente, profesionales de
miles de grandes empresas que operan en múltiples sectores económicos
sensibles: energéticas, farmacéuticas, industrias, seguridad…
El uso de los sistemas de IA para suplantar la identidad de las personas puede poner en tela de juicio los sistemas de autenticación facial o por voz, puesto que, si los delincuentes pueden clonar nuestro rostro o nuestra voz, podrían emplearlo para suplantar nuestra identidad y acceder a datos sensibles, internarse en nuestras cuentas bancarias o, incluso, desplegar malware en los sistemas corporativos.
5. Generar
documentación y pistas falsas para dificultar la detección de los ataques
Como su propio nombre
indica, las IA generativas son sistemas de enorme utilidad a la hora de
producir textos, imágenes, sonidos o contenidos audiovisuales.
Por ello, pueden ser
empleadas de forma maliciosa para generar documentos o esparcir pistas
falsas en las redes sociales, con el objetivo de cometer fraudes con
Inteligencia Artificial, en los que se cuide hasta el más mínimo detalle.
Pensemos, por ejemplo,
en los fraudes contra el sector turístico. Los delincuentes pueden usar las
herramientas de IA para redactar sus mensajes o crear webs falsas, pero también
pueden elaborar documentos para no levantar sospechas entre las víctimas, como
facturas o recibos e, incluso, documentación bancaria falsa. Lo mismo puede
decirse de otros fraudes similares como el timo del CEO.
Ya lo dice el
refranero popular: «el diablo está en los detalles».
Asimismo, la
generación de toda clase de documentos visuales o audiovisuales puede ser
esencial para fortalecer un engaño creando perfiles en redes sociales con una
apariencia de legitimidad intachable. E, incluso, empleando las redes sociales
no solo para suplantar identidades, sino también para desinformar y evitar
que un ataque en marcha sea detectado.
En este sentido, la
Agencia de la Unión Europea para la Ciberseguridad (ENISA) advierte a las compañías de que una de las amenazas
más relevantes de los próximos años serán las amenazas avanzadas
híbridas. Es decir, ataques lanzados para vulnerar la propiedad
industrial de las empresas y recabar información sobre sus
investigaciones en los que se emplearán sistemas de Inteligencia Artificial
para recopilar información, pero también para ofuscar los ataques generando
fake news y evidencias falsas que apunten hacia otros posibles culpables, como
otras compañías de la competencia.
6. El sector
financiero y las identidades Frankenstein
Nadie está a salvo de
los fraudes digitales en general, y de los fraudes con Inteligencia
Artificial en particular. Ni las empresas, ni las personas
individuales.
Los fraudes
con Inteligencia Artificial pueden impactar en todos los sectores
económicos y ámbitos sociales. Pensemos, por ejemplo, en el terreno educativo,
en el que los profesores tienen que lidiar no solo con trabajos falsos, sino
también con suplantación de identidades, sobre todo, en la teleeducación.
Sin embargo, resulta
evidente que pueden ser especialmente críticos en un ámbito de vital
importancia para las empresas y los ciudadanos: el sector financiero.
Más allá del
perfeccionamiento de campañas de ingeniería social o el quebrando de mecanismos
de autenticación biométricos, que ya hemos tratado con anterioridad, cabe
destacar una tendencia que puede suponer una gran amenaza para las
compañías financieras y las empresas y ciudadanos que trabajan con
ellas: los fraudes de identidad sintética o identidad
Frankenstein.
¿En qué consisten los
fraudes de identidad sintética? Son una clase de estafa que combina
información real sobre una persona con datos falsos y que se puede
generar gracias a los sistemas de IA. De tal forma que, a partir de un dato
real, por ejemplo, un número de DNI o de la Seguridad Social de una persona, se
crea una identidad completamente falsa y distinta a la de la persona que detenta
dicho número. Habida cuenta de las brechas de datos que se han producido en los
últimos años, hoy en día es posible adquirir número de identificación personal
en la Dark Web, sin necesidad de realizar un ataque previo para conseguirlo.
6.1. Fraudes de
largo recorrido
¿Qué consiguen los
ciberdelincuentes poniendo en marcha fraudes de identidad sintética?
- Abrir cuentas bancarias y obtener crédito. Los ciberdelincuentes profesionales no
realizan fraudes en el corto plazo, sino que le construyen un historial
crediticio sólido a la identidad falsa, por ejemplo, solicitando préstamos
y créditos que devolverán de forma eficaz para garantizar su solvencia.
¿Con qué objetivo? Una vez que la solvencia esté demostrada, agotarán todo
el saldo de las tarjetas de crédito que hayan solicitado, así como el
dinero obtenido vía préstamos y desaparecerán sin dejar rastro.
- Evitar ser detectados por las entidades
financieras, pero también por las personas que son legítimas propietarias
de los documentos empleados para
construir la identidad falsa. Esto supone el gran diferencial entre los
robos de identidad tradicionales y los sintéticos, puesto que, en los
primeros, es posible que las entidades bancarias y las víctimas descubran
el fraude en un periodo temporal breve y, por lo tanto, el impacto sea
mucho menor.
Hoy en día, las
herramientas de Inteligencia Artificial pueden ser extraordinariamente útiles
para los ciberdelincuentes a la hora de ayudarlos a construir
identidades sintéticas para cometer fraudes económicos y estafar a las
compañías financieras. ¿Por qué? Facilitan la construcción de la identidad y
reducen el tiempo, los recursos y los conocimientos que deben emplear los
actores maliciosos.
Estas estafas son
percibidas por los bancos como una amenaza de primer nivel, más aún tras la
popularización de las IA generativas. De hecho, el 92% de las compañías del sector en Estados Unidos
considera que los fraudes de identidad sintética suponen una amenaza de primer
nivel y la mitad de ellas ha detectado estafas de este tipo.
7. Tomar la
iniciativa a la hora de prevenir los fraudes con Inteligencia Artificial
Habida cuenta de lo
que hemos expuesto a lo largo de este artículo, podemos observar que los fraudes
con Inteligencia Artificial suponen una optimización de los fraudes y
ciberataques tradicionales. O, dicho de otra forma, los ciberdelincuentes
emplean una tecnología disruptiva y que aún va a evolucionar de manera radical
en los próximos años, para complejizar y sofisticar sus técnicas,
tácticas y procedimientos. Sin embargo, los objetivos delictivos se
mantienen inalterables: estafar a personas y empresas, enriquecerse
económicamente, amenazar la continuidad de negocio de las compañías, sustraer,
secuestrar y exfiltrar información sensible…
¿Qué pueden hacer las
empresas y las administraciones públicas para combatir los fraudes con
Inteligencia Artificial y evitar las consecuencias de los incidentes de
seguridad? Disponer de profesionales de ciberseguridad con una gran
experiencia a sus espaldas y que realicen investigaciones de forma continua
para descubrir cómo evolucionan los sistemas de IA disponibles, qué usos
maliciosos pueden llevar a cabo los delincuentes y cómo se transforman sus
técnicas, tácticas y procedimientos.
7.1. La
ciberseguridad es una cuestión estratégica
En este sentido,
juegan un papel fundamental servicios
de ciberseguridad avanzados como:
- Test de
ingeniería social para evaluar las defensas de la
organización a técnicas avanzadas que usen IA y formar y concienciar a los
profesionales para que no sean víctimas de engaños.
- Gestión de
vulnerabilidades para monitorear la infraestructura de una
compañía y reducir los tiempos de detección y remediación de incidentes de
seguridad, teniendo en cuenta el uso malicioso de herramientas de IA.
- Detección y caza proactivas de amenazas y vigilancia continua para detectar
ataques desconocidos y dirigidos contra la organización.
- Escenarios de Red Team que tengan en cuenta el uso
pernicioso de sistemas de IA para perfeccionar todo tipo de ciberataques.
La irrupción de la
Inteligencia Artificial ya está transformando a nuestro tejido productivo. Como
toda tecnología de vanguardia, la IA trae consigo un sinfín de potencialidades
y tiene el potencial para mejorar y agilizar miles de procesos que llevan a cabo
las empresas y los profesionales.
Los sistemas
de IA ya juegan un papel clave en múltiples ámbitos, incluida la ciberseguridad,
donde existen tecnologías como los sistemas UEBA para optimizar la detección de
comportamientos anómalos que sirvan para descubrir ataques en fases tempranas.
¿Qué queremos decir
con esto? Al igual que los fraudes con Inteligencia Artificial suponen
un desafío para los profesionales de ciberseguridad, las empresas, las
administraciones públicas y las personas, la tecnología también puede ser
extremadamente útil a la hora de mejorar las capacidades de prevención,
detección, predicción y respuesta ante incidentes de seguridad.
Sea como fuere, la
ciberseguridad y la ciberinteligencia son claves para proteger a los
sistemas de IA frente a los ataques, pero también para combatir los fraudes
e incidentes que se diseñan e implementan sirviéndose de las potencialidades de
esta tecnología.
No hay comentarios.:
Publicar un comentario